Derzeit keine.

Meldungstyp: Bot

Als Botnet wird eine Menge von kompromittierten Systemen (sogenannte Bots) bezeichnet, die sich vollständig unter der Kontrolle eines Angreifers befindet. Dies sind oft normale Arbeitsplatzrechner, in die über eine beliebige Schwachstelle eingebrochen wurde. Nach dem Einbruch wurde vom Angreifer eine Bot-Software installiert, die versteckt auf dem System läuft und eine Verbindung zu einem zentralen Botnet Control Server hält.

Wenn Sie eine Meldung bzgl. eines Bots bekommen, dann steht Ihr System wahrscheinlich unter der Kontrolle eines Angreifers und ist Teil eines Botnet. Booten Sie von einem sauberen Medium (z.B. CD) und untersuchen Sie dann das System.

Dieses ist evtl. am Versand von unerwünschter Werbemail beteiligt (SPAM) oder es werden Portscans oder gar Angriffe gegen weitere Systeme durchgeführt. Die Bots suchen auf dem kompromittierten System häufig auch nach Lizenzschlüsseln von Software (Spiele, Windows, Office), Passwörtern (für Homebanking, eBay, PayPal, etc.), betreiben Sniffer, Keylogger uvm. 

Beispiel für eine typische Meldung:

 

System:       192.168.77.13
Meldungstyp:  Bot
Zeitstempel:  2009-07-16 14:30:10 GMT+0200 (Sommerzeit)
Beschreibung: Auf dem System scheint eine Bot-Software betrieben zu
              werden, die versucht, einen HTTP- oder IRC-basierten Bot-Netz
              Control-Server zu erreichen.

  TCP Quellport  Malwaretyp Zeitstempel (GMT+00)
  ----------------------------------------------------------
4318 Conficker 2009-07-16 12:02:18
unbekannt Conficker 2009-07-16 23:29:24
26904 Mebroot 2009-07-16 10:57:03
2124 Grum 2009-07-16 21:24:10
36576 unbekannt 2009-07-16 13:54:02

 

In der Meldung werden der Quellport, der Zeitpunkt der Verbindung und grundsätzlich auch der Malwaretyp angegeben.

Malwaretypen

Die folgenden Malwaretypen werden derzeit unterschieden:

  • Avalanche: Das System fiel auf, da es versuchte sich mit dem Avalanche Botnet zu verbinden. Avalanche verwendet Fast-Flux Domains um Phishing-Sites zu hosten. Der Bot ist in seinem Verhalten dem unten beschriebenen Zeus ähnlich.
  • Conficker: Das System ist sehr wahrscheinlich mit dem Conficker Wurm (auch Downadup genannt) infiziert. Diese Malware verbreitet sich auf mehrere Arten im Netz und fällt durch HTTP-Anfragen der Form  "http://<zufaellig_erzeugte_URL>" auf. Informationen zum Wurm und seiner Beseitigung finden Sie auf der Informationsseite von Microsoft oder auf der heise Security Infoseite.
  • Conficker-Timecheck: Ab der Version C des W32.Conficker Wurms wird von Conficker eine Verbindung zu einer Reihe von öffentlichen Webservern aufgebaut, um die aktuelle Zeit abzufragen. Anhand dieser Anfragen können vom Wurm kompromittierte Systeme in den Logdateien der Webserver erkannt und ausgenutzt werden. Die Meldung "Conficker Timecheck" besagt, dass sich ein System aus Ihrem Netzwerk zu einem dieser Server verbunden hat.
  • Dipnet: Die Dipnet Bot-Software (auch Oddbob genannt) verwendet eine ältere LSASS-Schwachstelle, um sich zu verbreiten. Ist ein System infiziert, verbindet es sich zu einem privaten IRC-Server. Die Bot-Software führt Scans nach Port 15118/TCP durch, wodurch sie i.d.R. entdeckt wird.
  • DNSChanger: Die Bot-Software DNSChanger verändert die DNS-Einstellungen des Computers so, dass Netzwerkverkehr auf von Angreifern kontrollierte Seiten umgeleitet wird. Beispiele hierfür sind Seiten von Banken oder generell Seiten auf denen Anwender Login-Daten eingeben. Weitere Informationen finden sie bei Heise Security oder in der Microsoft Malware Encyclopedia.
  • FakeAV: Das gemeldete System ist durch den Zugriff auf FakeAV Server aufgefallen. Bei FakeAV, auch "rogue security software" genannt, handelt es sich um eine Anwendung, die vorgibt, eine legitime Sicherheitsanwendung wie z.B. ein Virenscanner oder Registry-Cleaner zu sein. Tatsächlich bietet sie jedoch keinen Schutz. In einigen Fällen wird zudem tatsächlich bösartige Software auf dem System installiert.
  • Grum: Der Trojaner Grum wird üblicherweise zum Versenden von Spam eingesetzt. Das System fällt durch HTTP GET Requests "GET/spm/s_alive.php?" auf, die das Rootkit-geschützte Virus zu bestimmten URLs mit verschiedenen Parametern aufruft.
  • Mariposa: Das System hat Verbindung zu einem bekannten "Command and Control"-Server des Mariposa-Botnetzes aufgenommen. Hierbei kann es sich sowohl um IRC- als auch HTTP-Verbindungen handeln. Ein System, das in dieses Botnetz eingebunden ist, kann für verschiedene kriminelle Zwecke verwendet werden, z.B. können Zugangsdaten für soziale Netzwerke, Online-Banking, FTP- oder E-Mailkonten gestohlen werden. Es gibt auch Berichte über "Distributed Denial-of-Service"-Angriffe mit diesem Botnetz.
  • Mebroot: Das System ist durch HTTP POST Requests aufgefallen, die das Rootkit bzw. der davon geschützte Torpig Trojaner zu bestimmten URLs aufnimmt.
  • Multibanker: Die Malware modifiziert Systemdateien, um Internetverkehr mit Bankwebseiten und ähnlichen Webseiten zu überwachen und die Logindaten zu stehlen. Diese Daten werden dann per HTTP an entfernte Rechner gesendet. Die Ziel-Adresse wird mittels eines dynamischen Algorithmus zur Erzeugung von Domainnamen aufgelöst. Weiterhin ist es möglich, dass weitere Schadsoftware heruntergeladen wird. Aliasnamen für die Malware sind unter anderem 'Bankpatch' und 'Multibanker'.

  • Phatbot: Die Phatbot Bot-Software ist sehr modular und bietet Angreifern eine Vielzahl von Möglichkeiten sowie Exploits zur weiteren Verbreitung. Sie fällt durch bestimmte HTTP-Requests auf, die wahrscheinlich zur Bandbreiten-Messung an eine Reihe von Webseiten gerichtet werden. Da die Anfragen per HTTP gestellt werden, ist das System evtl. nur ein HTTP-Proxy und nicht das tatsächlich betroffene System.
  • Sality: Das System hat eine Verbindung zu einer Download-URL des Sality Botnets aufgenommen. W32.Sality ist ein Bot, der sich über infizierte Dateien verbreitet. Neben der Infektion von Dateien und Prozessen erfüllt das Schadprogramm weitere Aufgaben. Es erschwert die Entdeckung des Programms durch Anti-Viren Software und lädt neue Komponenten nach. Ferner baut das Programm über ein eigenes Peer-2-Peer Protokoll Verbindungen zu anderen Instanzen auf. Ist ein System mit dem Sality-Bot infiziert, so öffnet das Programm auf dem Host eine Backdoor, welche einem Angreifer den Zugang zum System ermöglicht. Weiterhin werden Keylogger aktiviert, um die Aktionen des Anwenders zu protokollieren. Durch die Fähigkeit dynamisch Code nachzuladen, ist das System in der Lage, neue Funktionen zu integrieren.
  • Sdbot: Die Bot-Software Backdoor.Sdbot verbreitet sich sowohl durch die Ausnutzung von Schwachstellen in Microsoft Windows als auch über offene SMB-Shares. Vermutlich wird dieser Bot auch entweder als Attachment an E-Mails verbreitet oder per Download von Webservern. Nach dem Starten des Bots verbindet sich dieser zu einem IRC-Channel des Angreifers und lässt sich so beliebig fernsteuern.
  • Silon: Von dem System ausgehend wurde ein HTTP-Verbindungsversuch zu einem "Command and Control"-Server beobachtet. Der Trojaner Silon wird beispielsweise verwendet, um Login-Daten aus Sitzungen des Internet Explorers auszulesen und an zentrale Server zu schicken.
  • sinit: Die Bot-Software sinit verwendet nicht IRC als Protokoll für den Control-Channel, sondern UDP Pakete auf Port 53, die fast wie DNS-Antworten aussehen. Weiterhin verwendet sinit ein dezentrales Peer-to-Peer Modell, um Befehle zu empfangen und zu verbreiten, was eine Aufdeckung relativ schwierig macht. Die Bot-Software fällt durch die Kommunikation auf Port 53/UDP auf.
  • Spybot: Die Bot-Software W32.Spybot.WON benutzt eine Schwachstelle im Windows Plug-and-Play Interface zur weiteren Verbreitung.
  • Spyeye: Die Bot-Software Spyeye zeichnet Keyboard-Aktivitäten auf und dient hauptsächlich dem Zweck, Login-Daten mithilfe einer Methode mit dem Namen "form grabbing" zu stehlen. Die Daten werden dann an einen entfernten Rechner geschickt. Die Malware verwendet dabei ein Rootkit, um ihre Aktivitäten zu verstecken.
  • SSH-Brute-Forcer: Der Malwaretyp SSH-Brute-Forcer beschreibt eine Bot-Software, welche auffiel, da das befallene System SSH Account Probes auf anderen Systemen durchführte.
  • Tdss: Die Bot-Software Tdss gehört zu einer Familie von Trojanern, die aus mehreren Komponenten besteht. Die Malware kann dabei Einfluss auf die Online-Aktivitäten des Rechners nehmen. Zum Beispiel kann sie Suchergebnisse manipulieren, auf bestimmte Seiten umleiten, sogenanntes Banner-Clicking ausführen oder unbemerkt Software herunterladen und installieren.
  • Torpig: Der Torpig (auch Sinoval genannte) Trojaner wird zum Ausspähen von Bankverbindungen bzw. Usernamen und Passworten benutzt. Häufig wird die Anwesenheit des Trojaners durch das Mebroot Rootkit verschleiert.
  • Toxbot: Die Bot-Software W32.Toxbot benutzt eine Vielzahl von Exploits, um sich weiter zu verbreiten. Ist ein System infiziert, versucht sich der Bot zu einem Botnet Control Server auf Port 6556/TCP oder 1023/TCP zu verbinden.
  • TrafficConverter: Das System ist durch den Zugriff auf eine TrafficConverter Web-Adresse aufgefallen. TrafficConverter beschreibt eine internet-basierte Vertriebslösung (Affiliate-Program) für FakeAV Software. Den Affiliates werden Linkadressen und Javaskripte zur Verfügung gestellt, die in Software und kompromittierte oder bösartige Webseiten eingebunden werden können. Beim Zugriff auf diese Webseiten erscheinen irreführende Meldungen, die eine Infektion des Systems suggerieren und einen Gratis-Scan anbieten. Bei Zustimmung wird ein FakeAV Programm heruntergeladen, das vor nicht-existierenden Bedrohungen warnt. Zudem wird der Zugriff auf Webseiten legitimer Sicherheitsanbieter verhindert. Der Anwender wird daraufhin mit häufigen trügerischen Sicherheitsmeldungen dazu gedrängt, eine kostenpflichtige Version zu erwerben.
  • Zeus: Vom System wurde zumindest ein HTTP-Verbindungsversuch zu einem "Command and Control"-Server des Zeus-Botnetzes registriert. Die Bots des Zeus-Netzes werden verwendet, um Zugangsdaten für soziale Netzwerke, Online-Banking, FTP- oder E-Mailkonten zu stehlen, aber auch vielfältige andere Aktionen auszuführen.
     aktualisiert am: 07.09.2015 |